Kommunikation ledere og agenter
Lær at nettet i dit valg af produkter, ledere og agenter skal klare kommunikation. De fleste af de IDS program manager spørge dig først og kommunikation, og ledere vil tjekke agentur.
Typisk, at ledere og agenter kommunikerer ved hjælp af en offentlig nøgle kryptering. For eksempel bruger Axent's produkter 400 lang Diffie-Helman kryptering. Standard 128-bit SSL-session kryptering. Sammenholdes disse to standarder, kan du finde de fleste af IDS sælgere bruger sikker kommunikation.
Nogle af de gamle mainframe-klasses produkter gennem brug af eksplicitte eller meget svag i krypteret session. Denne funktion er en ironi, som udtrykkeligt transmission sårbare over for kapring og Man-in-the-middle angreb, vil dette alvorligt skade din skærm og beskytte netsikkerheden.
Nogle ledere og andre ledere kan kommunikere. Denne kommunikation mellem ledere kan spare båndbredde og reducere dine administrative byrder. Gennem brug af organisationsstrukturen kan være at undgå sådanne meddelelser. For eksempel. Axent Intruder Alert (99vA), der anvendes til at blive kaldt det domæne hierarkiet at organisere agenter
Revision manager og agent kommunikation
Som revisor, bør du kontrollere brugernavn og password, og ikke at bevare standardindstillingerne. Samtidig skal du sikre, at kommunikationen skal være krypteret, og så sikre som muligt.
Hybrid Intrusion Detection
Netværk-baserede intrusion detection produkter og host-baserede intrusion detection produkter er utilstrækkelig, skal du blot bruge en klasse af produkter vil resultere i aktive forsvar system er ikke udtømmende. Men deres fejl supplerer hinanden. Hvis disse to typer af produkter kan integreres problemfrit anvendes i netværket vil blive en komplet tredimensionel struktur af aktive forsvarssystem, integrerer to slags web-baseret og host-baserede intrusion detection system strukturelle karakteristika, kan opdage nettet angreb Oplysninger kan også findes fra systemet log undtagelser.
Regel
Som ansøgning firewall, skal du etablere regler for IDS. De fleste af IDS-programmet har en pre-definerede regler. Du må hellere redigere de eksisterende regler og tilføje nye regler til at yde den bedste beskyttelse til netværket. Sædvanlige regler etableret to kategorier: netværk anomali og netværk misbrug. Enterprise-class IDS er normalt hundredvis af regler kan gennemføres.
Forskellige producenter bruger nogle forskellige terminologi revision. For eksempel, eTrust Intrusion Detection med "regler" for at drøfte sikkerhed revision regler, og Intruder Alert bruger "politikker". Intruder Alert du vil lære at bruge "politik" betyder, når mere vidtrækkende, det giver dig mulighed for at opstille regler for de enkelte strategier. Derfor, for at forstå de enkelte sælgers produkt, skal du ikke narre af udtrykket.
Netværk anomali overvågning
IDS program vil rapportere en aftale-niveau anomalier. Hvis konfigureret korrekt, det bliver du bedt om NetBus, Teardrop eller Smurf angreb. For eksempel, hvis der er for mange SYN forbindelser får IDS program advare dig.
Netværk misbrug Overvågning
Netværk misbrug af ikke-arbejdsrelateret formål, herunder søgning på internettet, uautoriseret installation af tjenesteydelser (såsom WAR FTP-tjenester), og spille spil (som Doom eller Quake). Du kan udføre sine skovhugst, blokerer trafikken eller tage initiativ til at stoppe. For eksempel kan du bruge programmet gennemførelsen af disken eller sæt "dummy"-systemet eller netværket induktion.
Internet misbrug er et fysisk, operativsystem eller resultatet af langtrækkende angreb. Fysiske overgreb, herunder tyveri af en harddisk eller fysisk manipulation af maskinen til at indhente oplysninger. Dokumenteret operativsystem angreb, der forsøger at få root bruger adgang. Midler angriberen ekstern hacker at angribe netudstyr.
Fælles metoder til påvisning
Intrusion Detection System påvisningsmetoder almindeligt anvendte funktion afsløring, statistiske test og ekspertsystemer. Ifølge Ministeriet for Offentlig Sikkerhed i Computer Information System Security Produktkvalitet Tilsyn og Kontrol Center i rapporten, indenlandske censur af intrusion detection produkter anvendes i 95% af den skabelon mønstertilpasning intrusion detection produktresumé, andre 5% af sandsynlighed og statistik ved hjælp af statistiske test produkter og Videnbaserede ekspert system log produkter.
Feature Detection
Feature påvisning af kendte angreb eller invasion deterministiske beskrevne måde, dannelsen af den tilsvarende begivenhed model. Når revisionen begivenheder og mode for en invasion kendt for at matche, det er alarmerende. Lignende princip med eksperten system. Den påvisningsmetode og afsløring af computervirus lignende måde. Baseret på karakterisering af den nuværende pakke er meget udbredt mønstertilpasning. Forudsigelse af den høje præcision på afsløring, men ingen empiriske viden om invasion og angreb kan intet gøre.
Statistisk test
Statistisk anomalisøgning model, der anvendes i den statistiske model der almindeligvis anvendes måleparametre kan nævnes: Antallet af revisionen begivenheder, interval, ressourceforbrug og så videre. 5 almindeligt brugte statistiske modeller intrusion detection er:
1, driften model, modellen antager, at undtagelser kan måles og sammenlignes med nogle faste indikatorer til rådighed, kan du opleve værdien af et fast mål eller en periode gennemsnittet statistikker, for eksempel i den korte tid af flere mislykkede login sandsynligvis forsøge at angribe password;
2, Varians, variansen beregningsparametre, indstilling af konfidensintervallet, når den målte værdi overstiger konfidensinterval område, kan unormale;
3, multi-model, der opererer model er udvidet ved analyse af flere parametre samtidigt at nå opdagelse;
4, Markov proces model, for hver type begivenhed definitioner for systemet stat med staten overgangen matrix til at repræsentere tilstandsændringer, Dang Fa Sheng Klokken en begivenhed, eller en tilstand af overdragelsen af Gailv Ju Zhengai mindre Zeke Neng ja anomalier;
5、时间序列分析,将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
统计方法的最大优点是它可以“学习”用户的使用习惯,从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律,从而透过入侵检测系统。